L’\u00e9quipe de hackers li\u00e9e \u00e0 la Russie, connue sous le nom de Turla <\/b>a \u00e9t\u00e9 observ\u00e9 \u00e0 l’aide d’une version mise \u00e0 jour d’une porte d\u00e9rob\u00e9e de deuxi\u00e8me \u00e9tape connue appel\u00e9e Kazuar.<\/p>\n
Les nouvelles d\u00e9couvertes proviennent de l’unit\u00e9 42 de Palo Alto Networks, qui suit l’adversaire sous son surnom de constellation. Ourse pensive<\/strong>.<\/p>\n “Comme le r\u00e9v\u00e8le le code de la r\u00e9vision am\u00e9lior\u00e9e de Kazuar, les auteurs ont mis un accent particulier sur la capacit\u00e9 de Kazuar \u00e0 op\u00e9rer de mani\u00e8re furtive, \u00e0 \u00e9chapper \u00e0 la d\u00e9tection et \u00e0 contrecarrer les efforts d’analyse”, ont d\u00e9clar\u00e9 les chercheurs en s\u00e9curit\u00e9 Daniel Frank et Tom Fakterman. dit<\/a> dans un rapport technique.<\/p>\n “Ils le font en utilisant diverses techniques avanc\u00e9es d’anti-analyse et en prot\u00e9geant le code du malware avec des pratiques efficaces de cryptage et d’obscurcissement.”<\/p>\n La pensive Ursa, active depuis au moins 2004, est attribu\u00e9e au Service f\u00e9d\u00e9ral de s\u00e9curit\u00e9 russe (FSB). Plus t\u00f4t en juillet dernier, l’\u00e9quipe ukrainienne d’intervention en cas d’urgence informatique (CERT-UA) a impliqu\u00e9 le groupe mena\u00e7ant dans des attaques ciblant le secteur de la d\u00e9fense en Ukraine et en Europe de l’Est avec des portes d\u00e9rob\u00e9es telles que DeliveryCheck et Kazuar.<\/p>\n Kazuar est un implant bas\u00e9 sur .NET qui a \u00e9t\u00e9 d\u00e9couvert pour la premi\u00e8re fois en 2017 pour sa capacit\u00e9 \u00e0 interagir furtivement avec des h\u00f4tes compromis et \u00e0 exfiltrer des donn\u00e9es. En janvier 2021, Kaspersky a soulign\u00e9 les chevauchements de code source entre la souche du malware et Sunburst, une autre porte d\u00e9rob\u00e9e utilis\u00e9e conjointement avec le piratage SolarWinds de 2020.<\/p>\n Les am\u00e9liorations apport\u00e9es \u00e0 Kazuar indiquent que l’acteur mena\u00e7ant \u00e0 l’origine de l’op\u00e9ration continue de faire \u00e9voluer ses m\u00e9thodes d’attaque et de gagner en sophistication, tout en \u00e9largissant sa capacit\u00e9 \u00e0 contr\u00f4ler les syst\u00e8mes des victimes. Cela inclut l\u2019utilisation de m\u00e9thodes robustes d\u2019obscurcissement et de cryptage de cha\u00eenes personnalis\u00e9es pour \u00e9chapper \u00e0 la d\u00e9tection.<\/p>\n “Kazuar fonctionne dans un mod\u00e8le multithreading, tandis que chacune des principales fonctionnalit\u00e9s de Kazuar fonctionne comme son propre thread”, ont expliqu\u00e9 les chercheurs.<\/p>\n “En d’autres termes, un thread g\u00e8re la r\u00e9ception de commandes ou de t\u00e2ches de son [command-and-control], tandis qu’un thread de r\u00e9solution g\u00e8re l’ex\u00e9cution de ces commandes. Ce mod\u00e8le multithreading permet aux auteurs de Kazuar d’\u00e9tablir un contr\u00f4le de flux asynchrone et modulaire.”<\/p>\n Le malware prend en charge un large \u00e9ventail de fonctionnalit\u00e9s \u2013 passant de 26 commandes en 2017 \u00e0 45 dans la derni\u00e8re variante \u2013 qui facilitent le profilage complet du syst\u00e8me, la collecte de donn\u00e9es, le vol d’informations d’identification, la manipulation de fichiers et l’ex\u00e9cution de commandes arbitraires.<\/p>\n Il int\u00e8gre \u00e9galement des fonctionnalit\u00e9s permettant de configurer des t\u00e2ches automatis\u00e9es qui s’ex\u00e9cuteront \u00e0 des intervalles sp\u00e9cifi\u00e9s pour collecter des donn\u00e9es syst\u00e8me, prendre des captures d’\u00e9cran et r\u00e9cup\u00e9rer des fichiers dans des dossiers particuliers. La communication avec les serveurs C2 s’effectue via HTTP.<\/p>\n “En plus de la communication HTTP directe avec le C2, Kazuar a la capacit\u00e9 de fonctionner comme un proxy, pour recevoir et envoyer des commandes \u00e0 d’autres agents Kazuar dans le r\u00e9seau infect\u00e9”, ont indiqu\u00e9 les chercheurs.<\/p>\n “Il effectue cette communication proxy via canaux nomm\u00e9s<\/a>, g\u00e9n\u00e9rant leurs noms en fonction du GUID de la machine. Kazuar utilise ces canaux pour \u00e9tablir une communication peer-to-peer entre diff\u00e9rentes instances Kazuar, en configurant chacune comme serveur ou client.<\/p>\n De plus, les fonctionnalit\u00e9s anti-analyse \u00e9tendues conf\u00e8rent \u00e0 Kazuar un haut degr\u00e9 de furtivit\u00e9, garantissant qu’il reste inactif et arr\u00eate toute communication C2 s’il est d\u00e9bogu\u00e9 ou analys\u00e9.<\/p>\n Le d\u00e9veloppement intervient alors que Kaspersky r\u00e9v\u00e9l\u00e9<\/a> qu’un certain nombre d’organisations \u00e9tatiques et industrielles en Russie ont \u00e9t\u00e9 cibl\u00e9es par une porte d\u00e9rob\u00e9e personnalis\u00e9e bas\u00e9e sur Go qui effectue le vol de donn\u00e9es dans le cadre d’une campagne de spear phishing qui a d\u00e9but\u00e9 en juin 2023. L’acteur mena\u00e7ant derri\u00e8re l’op\u00e9ration est actuellement inconnu.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/11\/Turla-met-a-jour-la-porte-derobee-Kazuar-avec-une.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n